Gérer les métadonnées des propriétés

Compatible avec :

Ce document explique comment utiliser les métadonnées des propriétés pour modifier la façon dont le système présente les champs d'événement et la catégorie dans laquelle ils apparaissent, par exemple Aperçu de la fiche > Champs d'événement et Écran de l'entité > Champs d'enrichissement. Par exemple, vous pouvez configurer les métadonnées des propriétés de sorte que le système regroupe tous les champs d'événements ou d'enrichissements qui commencent par le préfixe VT_ dans la catégorie VirusTotal.

Vous pouvez valider la propriété de métadonnées après l'avoir créée. 

Ajouter des métadonnées de propriétés

Pour ajouter des métadonnées de propriétés, procédez comme suit :

  1. Accédez à Paramètres > Configuration des données > Métadonnées des propriétés.
  2. Cliquez sur Ajouter.
  3. Ajoutez les informations requises suivantes :
    • Nom du système : nom du champ brut.
    • Nom à afficher : nom du champ tel qu'il apparaît à l'écran.
    • Nom du groupe : nom du groupe ou de la catégorie dans lesquels le champ apparaît.
    • Préfixe : préfixe utilisé pour regrouper plusieurs champs.
    • Supprimer le préfixe : supprime le préfixe du nom du champ.
      Par exemple, si vous définissez et supprimez le préfixe VT_, le système affiche VT_department comme service.
    • Afficher : le champ s'affiche sur la page.
    • Est mis en surbrillance : affiche le champ dans la section Mis en surbrillance de la page.
  4. Cliquez sur Ajouter.

Valider les métadonnées des propriétés

Vous pouvez valider les métadonnées des propriétés de deux manières, selon que vous avez utilisé un préfixe ou non.

Valider sans préfixe

Pour valider les métadonnées des propriétés sans préfixe, procédez comme suit :

  1. Ajoutez des métadonnées de propriétés pour un champ spécifique sans préfixe, puis cliquez sur Ajouter.
  2. Accédez à l'onglet Demandes > Événement d'alerte.
  3. Cliquez sur Afficher plus. Le fichier de catégorie s'affiche dans le panneau latéral.

Valider avec un préfixe

Pour valider les métadonnées des propriétés avec un préfixe, procédez comme suit :

  1. Ajoutez des métadonnées de propriétés pour plusieurs champs, y compris un préfixe VT_, puis cliquez sur Enregistrer.
  2. Accédez au widget Sélection d'entités > Requêtes dans l'onglet Aperçu des requêtes ou Aperçu des alertes.
  3. Cliquez sur une entité pour ouvrir la page Détails de l'entité.

Cas d'utilisation

Cette section décrit des cas d'utilisation qui illustrent la flexibilité du système pour gérer et afficher les événements dans les demandes.

Définir l'apparence par défaut des événements dans les demandes

Dans Google SecOps, les cas contiennent un sous-ensemble d'alertes. Ces alertes donnent accès à des événements, qui incluent des champs spécifiques décrivant l'événement. Pour tester cela, créez une demande :
  1. Sélectionnez Cas > Ajouter > Simuler des cas.
  2. Créez une demande Logiciel malveillant détecté dans l'environnement de votre choix. Si vous n'avez pas d'autre cas, utilisez l'environnement par défaut.
  3. Dans la description de la demande, sélectionnez l'alerte Virus détecté, puis l'onglet Événements. Le système affiche un seul événement, également nommé Virus détecté.
  4. Cliquez sur l'événement Virus détecté pour afficher la liste des champs.
  5. Faites défiler l'écran pour trouver les champs liés à la date de l'événement.

Modifier l'apparence des événements dans les demandes

Vous pouvez modifier l'apparence des événements, renommer des champs et les regrouper. Pour modifier l'apparence d'un événement, vous devez mettre à jour les métadonnées des propriétés. L'exemple suivant décrit les étapes à suivre pour reconfigurer les champs suivants afin qu'ils s'affichent en espagnol.
  1. Ouvrez un nouvel onglet de navigateur, puis cliquez sur Paramètres SOAR > Configuration des données > Métadonnées des propriétés.
  2. Cliquez sur AjouterAjouter, puis redéfinissez les valeurs du champ Nom à afficher en fonction du tableau suivant.

  3. Reconfigurez les champs suivants pour qu'ils s'affichent en espagnol :

    • date_hour
    • date_mday
    • date_minute
    • date_month
    • date_second
    • date_wday
    • date_year
    • date_zone

    Sélectionnez l'une des options suivantes :

    • Affiché : le champ s'affiche dans la description de l'événement.
    • Est mis en avant : déplace le champ vers un groupe dédié de champs mis en avant.
    Nom du système Nom à afficher Nom du groupe Est affiché Est mis en évidence
    date_hour Hora Fecha del evento oui oui
    date_mday Día del mes Fecha del evento oui non
    date_minute Minuto Fecha del evento oui oui
    date_month Mes Fecha del evento oui non
    date_second Segunda Fecha del evento non non
    date_wday Día de la semana Fecha del evento non non
    date_year Año Fecha del evento non non
    date_zone Zona horaria Fecha del evento oui non



Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.